Вирус Petya A захватил Украину

27.06.2017

Сегодня, 27 июня, вирус-шифровальщик Petya A захватил информационные сети ряда крупных украинских компаний, банков, СМИ и государственных учреждений. Среди жертв вредоносного вируса оказались, в частности Кабинет Министров, Ощадбанк, «Новая почта», аэропорт «Борисполь» и даже сайты тех структур, которые должны с такими явлениями бороться, — Киберполиции и Госспецсвязи.

По данным специалистов, основными целями вируса являются корпоративные пользователи, к которым вирус попадает с помощью спама, преимущественно направленного в кадровые отделы. Вирус заходит под видом письма от кандидата на вакантную должность, в котором предлагается перейти по ссылке на «резюме», однако при открытии воспроизводится не простой текстовый файл, а самораспаковывающийся архив с расширением .EXE. Также вирус может попасть в систему через сторонние ссылки, которые приходят на почту или в мессенджеры.

По данным СБУ, подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

После того как пользователь открывает файл, перед ним оказывается не документ с информацией об опыте работы кандидата или файл с другой интересующей информацией, а синий экран, что означает, что Petya A уже попал на ПК пользователя.

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya.

Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи алгоритма шифрования и восстановить их невозможно, только если пользователь не внесет выкуп ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных.

Представители украинской киберполиции сообщили об исследовании работы вируса Petya и вариантах возвращения доступа к системе при частичных поражениях этой программой.

Варианты вмешательства этого вирусного кода:

  • ПК заражены и данные полностью зашифрованы;
  • ПК заражены и частично зашифрованы;
  • ПК заражены, но шифрование таблицы MFT еще не началось.